策略授权参考
本章节介绍COC策略授权场景下支持的策略授权项。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝对指定资源在特定条件下进行某项操作。
- 对应API接口:自定义策略实际调用的API接口。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
- IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
COC的支持自定义策略授权项如下所示:
应用资源管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
查询资源数量 |
GET /v1/resources/count |
coc:instance:countResources |
√ |
× |
|
查询应用列表 |
GET /v1/applications |
coc:application:list |
√ |
× |
|
创建应用 |
POST /v1/applications |
coc:application:create |
√ |
× |
|
更新应用 |
PUT /v1/applications/{id} |
coc:application:update |
√ |
× |
|
删除应用 |
DELETE /v1/applications/{id} |
coc:application:delete |
√ |
× |
|
创建分组 |
POST /v1/groups |
coc:application:createGroup |
√ |
× |
|
查询分组列表 |
GET /v1/groups |
coc:application:listGroups |
√ |
× |
|
更新分组 |
PUT /v1/groups/{id} |
coc:application:updateGroup |
√ |
× |
|
删除分组 |
DELETE /v1/groups/{id} |
coc:application:deleteGroup |
√ |
× |
|
根据绑定规则同步分组资源 |
POST /v1/groups/{id}/sync |
coc:application:syncGroup |
√ |
× |
|
更新分组资源关系 |
PUT /v1/group-resource-relations |
coc:application:updateResources |
√ |
× |
|
创建分组资源关系 |
POST /v1/group-resource-relations |
coc:application:addResources |
√ |
× |
|
删除分组资源关系 |
DELETE /v1/group-resource-relations |
coc:application:removeResources |
√ |
× |
|
查询分组资源关系列表 |
GET /v1/group-resource-relations |
coc:application:listResources |
√ |
× |
|
查询分组资源关系数量 |
GET /v1/group-resource-relations/count |
coc:application:countResourceRelations |
√ |
× |
|
导入离线资源 |
POST /v1/other-resources/import |
coc:instance:syncResources |
√ |
× |
|
创建组件 |
POST /v1/components |
coc:application:create |
√ |
× |
|
查询组件列表 |
GET /v1/components |
coc:application:list |
√ |
× |
|
更新组件 |
PUT /v1/components/{id} |
coc:application:update |
√ |
× |
|
删除组件 |
DELETE /v1/components/{id} |
coc:application:delete |
√ |
× |
|
查询应用视图 |
GET /v1/application-view/search |
coc:application:list |
√ |
× |
|
查询应用维度的云资源容量值 |
POST /v1/capacity |
coc:application:getCapacity |
√ |
× |
|
查询应用、组件、分组的资源容量排名 |
GET /v1/capacity/order |
coc:application:getSortedCapacity |
√ |
× |
|
新增云厂商账户 |
POST /v1/vendor-account |
coc:vendorAccount:create |
√ |
× |
|
查询云厂商账户列表 |
GET /v1/vendor-account |
coc:vendorAccount:list |
√ |
× |
|
更新云厂商账户 |
PUT /v1/vendor-account |
coc:vendorAccount:update |
√ |
× |
|
删除云厂商账户 |
DELETE /v1/vendor-account |
coc:vendorAccount:delete |
√ |
× |
|
查询多云资源数量 |
GET /v1/multicloud-resources/count |
coc:instance:countResources |
√ |
× |
|
同步多云资源 |
POST /v1/multicloud-resources/sync |
coc:instance:syncResources |
√ |
× |
|
查询视图列表 |
GET /v1/resource/views |
coc:resourceView:list |
√ |
× |
|
创建视图 |
POST /v1/resource/views |
coc:resourceView:create |
√ |
× |
|
更新视图 |
PUT /v1/resource/views/{id} |
coc:resourceView:update |
√ |
× |
|
删除视图 |
DELETE /v1/resource/views/{id} |
coc:resourceView:delete |
√ |
× |
|
同步视图资源 |
POST /v1/resource/views/{id}/sync |
coc:resourceView:syncResources |
√ |
× |
|
查询视图资源 |
GET /v1/resource/views/resources |
coc:resourceView:listResources |
√ |
× |
|
查询视图资源数量 |
GET /v1/resource/views/resources/count |
coc:resourceView:countResources |
√ |
× |
|
查询离线资源列表 |
GET /v1/other-resources |
coc:instance:listResources |
√ |
× |
|
删除离线资源 |
DELETE /v1/other-resources |
coc:instance:syncResources |
√ |
× |
|
更新离线资源 |
PUT /v1/other-resources/{id} |
coc:instance:syncResources |
√ |
× |
|
查询离线资源数量 |
GET /v1/other-resources/count |
coc:instance:countOtherResources |
√ |
× |
|
查询资源标签 |
GET /v1/resources/{resource_id}/tags |
coc:instance:listResourceTags |
√ |
× |
|
添加资源标签 |
POST /v1/resources/{resource_id}/tags |
coc:instance:createResourceTags |
√ |
× |
|
同步资源uniagent状态 |
POST /v1/resources/uniagent/sync |
coc:instance:syncResources |
√ |
× |
|
同步离线资源uniagent状态 |
POST /v1/other-resources/uniagent/sync |
coc:instance:syncResources |
√ |
× |
|
查询企业项目收藏列表 |
GET /v1/enterprise-project-collect |
coc:enterpriseProject:listCollect |
√ |
× |
|
更新企业项目收藏 |
PUT /v1/enterprise-project-collect |
coc:enterpriseProject:updateCollect |
√ |
× |
|
查询多云资源最新一次更新的状态 |
GET /v1/multicloud-resources/last-sync-status |
coc:system:getLastSyncStatus |
√ |
× |
|
查询异步任务状态 |
GET /v1/jobs/{job_id} |
coc:system:getResourceSyncJobDetail |
√ |
× |
|
查询多云资源 |
GET /v1/multicloud-resources |
coc:instance:listResources |
√ |
× |
|
查询应用模型的下一层级 |
GET /v1/application-model/next |
coc:application:listModel |
√ |
× |
|
创建应用模型 |
POST /v1/application-view/batch-create |
coc:application:create |
√ |
× |
|
查询资源列表 |
GET /v1/resources |
coc:instance:listResources |
√ |
× |
|
查询各种云资源数量 |
GET /v1/resources/multi-count |
coc:instance:countResources |
√ |
× |
脚本管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
获取自动分批结果 |
POST /v1/instances/batches |
coc:instance:autoBatchInstances |
√ |
× |
|
通过正则表达式,评估脚本是否保存常见的高危命令 |
POST /v1/job/analyze-job |
coc:document:analyzeRisk |
√ |
× |
|
自定义脚本执行 |
POST /v1/job/scripts/{script_uuid} |
coc:instance:executeDocument |
√ |
× |
|
公共脚本执行 |
POST /v1/job/public-scripts/{script_uuid} |
coc:instance:executeDocument |
√ |
× |
|
自定义脚本列表 |
GET /v1/job/scripts |
coc:document:list |
√ |
× |
|
自定义脚本详情 |
GET /v1/job/scripts/{script_uuid} |
coc:document:get |
√ |
× |
|
自定义脚本创建 |
POST /v1/job/scripts |
coc:document:create |
√ |
× |
|
自定义脚本修改 |
PUT /v1/job/scripts/{script_uuid} |
coc:document:update |
√ |
× |
|
自定义脚本删除 |
DELETE /v1/job/scripts/{script_uuid} |
coc:document:delete |
√ |
× |
|
自定义脚本审批 |
POST /v1/job/scripts/{script_uuid}/action |
coc:document:update |
√ |
× |
|
公共脚本列表 |
GET /v1/job/public-scripts |
coc:document:list |
√ |
× |
|
公共脚本详情 |
GET /v1/job/public-scripts/{script_uuid} |
coc:document:get |
√ |
× |
|
脚本工单列表 |
GET /v1/job/script/orders |
coc:job:list |
√ |
× |
|
脚本工单基本信息 |
GET /v1/job/script/orders/{execute_uuid} |
coc:job:get |
√ |
× |
|
脚本工单批次详情 |
GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} |
coc:job:get |
√ |
× |
|
脚本工单批次列表 |
GET /v1/job/script/orders/{execute_uuid}/batches |
coc:job:get |
√ |
× |
|
脚本工单统计信息 |
GET /v1/job/script/orders/{execute_uuid}/statistics |
coc:job:get |
√ |
× |
|
脚本工单操作 |
PUT /v1/job/script/orders/{execute_uuid}/operation |
coc:job:action |
√ |
× |
|
查询资源标签列表 |
GET /v1/script/coc:script/tags |
coc:document:list |
√ |
× |
|
更新资源标签 |
POST /v1/script/coc:script/{resource_id}/tags/update |
coc:document:update |
√ |
× |
作业管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
查询用户自定义作业列表 |
GET /v1/documents |
coc:document:createDocument |
√ |
× |
|
创建用户自定义作业 |
POST /v1/documents |
coc:document:listDocument |
√ |
× |
|
获取作业原子能力列表 |
GET /v1/atomics |
coc:documentAtomic:list |
√ |
× |
|
获取原子能力详细 |
GET /v1/atomics/{atomic_unique_key} |
coc:documentAtomic:get |
√ |
× |
|
修改用户自定义作业 |
PUT /v1/documents/{document_id} |
coc:document:updateDocument |
√ |
× |
|
执行用户自定义作业 |
POST /v1/documents/{document_id} |
coc:document:execute |
√ |
× |
|
查询用户自定义作业详情 |
GET /v1/documents/{document_id} |
coc:document:getDocument |
√ |
× |
|
删除用户自定义作业 |
DELETE /v1/documents/{document_id} |
coc:document:deleteDocument |
√ |
× |
|
查询用户作业工单详情 |
GET /v1/executions/{execution_id} |
coc:execution:get |
√ |
× |
|
查询用户工单步骤详情 |
GET /v1/executions/{execution_id}/steps |
coc:execution:listExecutionStep |
√ |
× |
|
查询用户作业工单列表 |
GET /v1/executions |
coc:execution:list |
√ |
× |
|
查询工单步骤批次实例,如脚本分批操作里的ECS实例 |
GET /v1/executions/instances |
coc:execution:listExecutionStepInstance |
√ |
× |
|
操作用户作业工单 |
POST /v1/executions |
coc:execution:operate |
√ |
× |
补丁管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
获取节点合规性报告 |
GET /v1/patch/instance/compliant |
coc:complianceReport:list |
√ |
× |
|
分页获取节点补丁详情 |
GET /v1/patch/instance/compliant/{instance_compliant_id} |
coc:complianceReport:get |
√ |
× |
定时运维
|
权限 |
对应API接口 |
授权项(Action) |
依赖的授权项 |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|---|
|
新建定时运维任务 |
POST /v1/schedule/task |
coc:schedule:create |
iam:agencies:pass (授予向云服务传递委托的权限) |
× |
√ |
|
查询定时运维任务列表 |
GET /v1/schedule/task |
coc:schedule:list |
不涉及 |
× |
√ |
|
修改定时运维任务 |
PUT /v1/schedule/task/{task_id} |
coc:schedule:update |
iam:agencies:pass (授予向云服务传递委托的权限) |
× |
√ |
|
查询定时运维任务详情 |
GET /v1/schedule/task/{task_id} |
coc:schedule:get |
不涉及 |
× |
√ |
|
删除定时运维任务 |
DELETE /v1/schedule/task/{task_id} |
coc:schedule:delete |
不涉及 |
× |
√ |
|
启用定时运维任务 |
POST /v1/schedule/task/{task_id}/enable |
coc:schedule:enable |
不涉及 |
× |
√ |
|
禁用定时运维任务 |
POST /v1/schedule/task/{task_id}/disable |
coc:schedule:disable |
不涉及 |
× |
√ |
|
查询定时运维任务历史记录 |
GET /v1/schedule/task/history |
coc:schedule:getHistories |
不涉及 |
× |
√ |
事件管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
处理事件单 |
POST /v2/incidents/{incident_id}/actions |
coc:ticket:action |
× |
× |
|
查询事件对象列表 |
POST /v2/incidents/list |
coc:ticket:list |
× |
× |
|
查询事件操作历史列表 |
POST /v2/incidents/{incident_id}/histories |
coc:ticket:getOperationHistories |
× |
× |
|
获取事件任务 |
GET /v2/incidents/{incident_id}/tasks |
coc:ticket:listActions |
× |
× |
|
创建事件单 |
POST /v1/external/incident/create |
coc:ticket:create |
× |
× |
|
上传附件 |
POST /v1/external/incident/attachments |
coc:ticket:uploadFile |
× |
× |
|
处理事件单 |
POST /v1/external/incident/handle |
coc:ticket:action |
× |
× |
|
获取事件单历史 |
POST /v1/external/{ticket_type}/list-histories |
coc:ticket:getOperationHistories |
× |
× |
|
查询简易版事件单列表 |
GET /v1/incident-tickets |
coc:ticket:list |
× |
× |
|
获取事件单详细 |
GET /v1/external/incident/{incident_num} |
coc:ticket:get |
× |
× |
问题单管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
创建问题单 |
POST /v1/external/issues/create |
coc:ticket:create |
× |
× |
|
获取事件单详细 |
GET /v1/external/issues/{ticket_id} |
coc:ticket:get |
× |
× |
告警管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
处理告警 |
POST /v1/alarm-mgmt/alarm/{alarm_id}/auto-process |
coc:instance:executeDocument |
√ |
× |
|
批量清除告警 |
POST /v1/alarm-mgmt/alarms/cancel |
coc:alarm:clear |
√ |
× |
|
告警转事件 |
POST /v1/alarm-mgmt/alarms-linked-incident |
coc:alarm:createAlarmLinkedIncident |
√ |
× |
|
查询告警历史处理记录 |
GET /v1/alarm-mgmt/alarm/{alarm_id}/handle-histories |
coc:alarm:listHandleHistories |
√ |
× |
|
查询告警详情 |
GET /v1/alarm-mgmt/alarm/{alarm_id} |
coc:alarm:get |
√ |
× |
WarRoom
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
创建租户区WarRoom |
POST /v1/external/warrooms |
coc:warroom:create |
× |
× |
|
查询租户区WarRoom信息列表 |
POST /v1/external/warrooms/list |
coc:warroom:list |
× |
× |
故障诊断
|
权限 |
对应API接口 |
授权项(Action) |
依赖的授权项 |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|---|
|
查询诊断记录 |
GET /v1/diagnosis/tasks |
coc:job:list |
无 |
√ |
× |
|
提交诊断任务 |
POST /v1/diagnosis/tasks |
coc:job:action |
aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:diagnosis dms:instance:get dms:instance:modify dms:instance:get elb:members:get rds:instance:list |
√ |
× |
|
查询指定诊断记录下的指定诊断步骤的详情 |
GET /v1/diagnosis/tasks/{task_id}/node/{code} |
coc:job:get |
无 |
√ |
× |
|
查询单个诊断任务详情 |
GET /v1/diagnosis/tasks/{task_id} |
coc:job:get |
无 |
√ |
× |
|
重试诊断任务 |
POST /v1/diagnosis/tasks/{task_id}/retry |
coc:job:action |
aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:diagnosis dms:instance:get dms:instance:modify dms:instance:get elb:members:get rds:instance:list |
√ |
× |
|
取消诊断任务 |
POST /v1/diagnosis/tasks/{task_id}/cancel |
coc:job:action |
无 |
√ |
× |
|
查询批量诊断任务结果的概要 |
GET /v1/diagnosis/tasks/{task_id}/summary |
coc:job:action |
无 |
√ |
× |
变更管理
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目 (Project) |
企业项目 (Enterprise Project) |
|---|---|---|---|---|
|
更新变更单信息 |
PUT /v2/changes/{change_id} |
coc:ticket:update |
× |
× |
|
删除变更单 |
DELETE /v1/{ticket_type}/tickets/{ticket_id} |
coc:ticket:delete |
× |
× |
|
搜索变更工单子单 |
GET /v1/{ticket_type}/tickets/{ticket_id}/list-sub-tickets |
coc:ticket:list |
× |
× |
|
变更单状态修改 |
PUT /v1/{ticket_type}/tickets/{ticket_id} |
coc:ticket:update |
× |
× |
